Les dernières actualités Open Source - Lundi 25 août 2008

Publié le 25 août 2008


Gnu feroce
Voici les toutes dernières actualités concernant le monde de l'Open Source et des Logiciels Libres. N'hésitez pas à nous faire partager vos réactions et vos points de vue sur ces différents sujets.

On a pu apprendre, par un courriel envoyé dans la mailling-list de Fedora, que les serveurs de Red Hat et de Fedora ont été piratés. Les hackers auraient ainsi réussi à signer des paquets RPM infectés (uniquement pour les serveur RHEL, pas de soucis pour les serveurs de Fedora), mais heureusement, ces derniers n'ont pas pu être distribués. Depuis, tous les paquets ont été vérifiés et il n'y a maintenant plus de menace à craindre. Cet événement reste tout de même très critique et on espère que la sécurité sera renforcée sur ces serveurs. Source.

On continue avec NVidia qui a annoncé la prise en charge de OpenGL 3.0. La firme au caméléon va donc publier de nouveaux drivers capables de tirer entièrement profit de cette librairie graphique, qui a l'avantage d'être multi plateforme. En revanche, seules les cartes graphiques à base de GeForce et de Quadro seront concernées par cette prise en charge.Source.

Après la société américaine VMware, c'est au tour de Canonical, le sponsor officiel d'Ubuntu, de rejoindre la Fondation Linux. Jim Zemlin, le directeur exécutif de la fondation, est plutôt ravi de cette décision et considère Canonical comme un nouveau membre important.

Enfin, un bug UNIX vieux de 33 ans a été corrigé dernièrement par un développeur suisse. Celui-ci avait, en effet, été découvert en 1975 dans un système UNIX d'AT&T. 33 ans pour corriger un bug, il s'agit là sûrement d'un record inégalable. Source.


7 Commentaires pour "Les dernières actualités Open Source - Lundi 25 août 2008"

Flux des commentaires de cet article Ajouter un commentaire
  •  

    "Les hackers auraient ainsi réussi à signer des paquets RPM infectés, mais heureusement, ces derniers n'ont pas pu être distribués. Depuis, tous les paquets ont été vérifiés et il n'y a maintenant plus de menace à craindre."

    T'as vu ça où ? La news de Paul dit le contraire :

    "One of the compromised Fedora servers was a system used for signing Fedora packages. However, based on our efforts, we have high confidence that the intruder was not able to capture the passphrase used to secure the Fedora package signing key. Based on our review to date, the passphrase was not used during the time of the intrusion on the system and the passphrase is not stored on any of the Fedora servers."

    bochecha , le 25 août 2008 à 10:03
  •  

    @bochecha : les mecs de chez redhat ont publiés un bultin d'alerte de niveau critique sur les paquets rpm liés à openSSH. Dedans il parle d'une possible compromission des paquets RPM, si j'ai bien compris :

    "In connection with the incident, the intruder was able to sign a small number of OpenSSH packages relating only to Red Hat Enterprise Linux 4 (i386 and x86_64 architectures only) and Red Hat Enterprise Linux 5 (x86_64 architecture only)."

    pti-seb , le 25 août 2008 à 12:29
  •  

    Au passage, un script est disponible ici pour vérifier si votre système RedHat à été compromis ou non. Il suffit de le télécharger et de lancer les commandes :

    # bash ./openssh-blacklist-1.0.sh
    PASS: no suspect packages were found on this system

    pti-seb , le 25 août 2008 à 12:48
  •  

    Oui, sur la distrib RHEL.

    Or, dans ta news, tu parles des serveurs de RHEL et Fedora, sans distinguer les deux. Sur les serveurs de Fedora, aucun paquet n'a été compromis (du moins, c'est ce que l'annonce que tu cites spécifie).

    Enfin, comme le dit cette même annonce:
    "It is important to note that the effects of the intrusion on Fedora and Red Hat are *not* the same."

    Après, vu la transparence avec laquelle ça a été géré, est-ce qu'on peut croire cette annonce ? Chacun se fera sa propre opinion.

    bochecha , le 25 août 2008 à 13:08
  •  

    En fait il y a eu plusieurs attaques simultanées.
    Et les problemes causés chez fedora et chez Redhat sont différents.

    Je n'ai pas suivi les détails pour RH, mais sur Fedora rien de grave (d'apres ce que l'on sait pour le moment).

    Donc apparemment, les conséquences auraient été plus importantes pour les machines redhat.

    En tout cas, par mesure de sécurité (au moins pour Fedora), ils ont changé toutes les clés et reconstruisent et resignent tous les paquets.

    Pingoomax , le 25 août 2008 à 13:10
  •  

    PS : la bonne nouvelle de cette histoire, c'est qu'ils en ont profité pour meme à jour pas mal de trucs.

    Pingoomax , le 25 août 2008 à 13:15
  •  

    @bochecha et @Pingoomax : oui effectivement, vous avez as raison. J'ai mis les serveurs RHEL et Fedora dans le même panier alors que pour Fedora il n'y a pas eu les mêmes problèmes. J'ai donc modifier légèrement la news en conséquence.

    Sinon pour l'aspect transparence, c'est assez marrant mais là je vois plein de sites US qui commence à relater les faits. Finalement, le faite d'avoir fait un peu (beaucoup ?) de retentions d'informations sur cette l'histoire ne sera peut-être pas bénéfique pour Redhat.

    Mais bon, l'essentiel est d'avancer maintenant et de renforcer la sécurité des serveurs.

    pti-seb , le 25 août 2008 à 13:30

actualité android apache apple astuce astuces bash bilboblog blog boot chrome clavier commande commandes conky date debian Desktop développement elementary exploit faille fedora firefox flash gimp gnome google graphique Graphisme hack hacking Hardware humour intel internet iphone jailbreak Jeux Kde kernel libre Linux log logiciels Logiciels Libres lucid lynx maemo mail maquette metasploit microsoft mobile mockup monitoring mozilla multi-touch musique mysql n900 nautilus nokia noyau openoffice open source password photos php Planet publicité redhat red hat rpm réseau screenshot script serveur serveurs shell sql ssh statistiques sysadmin system Sécurité thème tux-planet tv twitter ubuntu unity vidéo vidéos vlc voyage wallpaper windows wordpress yum